New PCPJack worm steals credentials, cleans TeamPCP infections

1 minute de lecture

Mis à jour : May 07, 2026

PCPJack : Un nouveau ver ciblant les infrastructures Cloud

PCPJack est un framework malveillant sophistiqué conçu pour le vol massif d’identifiants au sein d’environnements Cloud (Docker, Kubernetes, bases de données, etc.). Le malware se distingue par sa capacité à évincer le groupe TeamPCP en supprimant activement ses outils, processus et accès sur les systèmes compromis.

Points clés :

Propagation : Le ver scanne les infrastructures exposées et utilise les données de Common Crawl pour identifier de nouvelles cibles.
Fonctionnement : Une fois déployé via un script bootstrap.sh, il installe des dépendances Python, assure sa persistance (systemd, cron, conteneurs privilégiés) et exécute des modules de vol d’identifiants (clés SSH, tokens Slack, accès OpenAI, etc.).
Exfiltration : Les données volées sont chiffrées (AES/ChaCha20-Poly1305) et envoyées vers des canaux Telegram.
Origine supposée : Les chercheurs soupçonnent qu’il s’agit d’un ancien membre ou affilié du groupe TeamPCP, connaissant parfaitement leurs méthodes et leur infrastructure.

Vulnérabilités exploitées :

CVE-2025-29927 : Contournement d’authentification dans le middleware Next.js.
CVE-2025-55182 (React2Shell) : Faille de désérialisation dans React/Next.js.
CVE-2026-1357 : Téléchargement de fichiers non authentifié dans WPVivid Backup.
CVE-2025-9501 : Injection PHP dans W3 Total Cache.
CVE-2025-48703 : Injection de commandes shell dans CentOS Web Panel.

Recommandations de sécurité :

Durcissement des accès : Imposer l’authentification multifacteur (MFA) partout où cela est possible.
Configuration Cloud : Utiliser IMDSv2 sur AWS pour sécuriser l’accès aux métadonnées des instances.
Sécurisation des services : Garantir une authentification forte pour les API Docker et Kubernetes.
Principe du moindre privilège : Restreindre les droits des conteneurs et des services exécutés.
Gestion des secrets : Ne jamais stocker de secrets (clés API, mots de passe) en texte clair.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

New PCPJack worm steals credentials, cleans TeamPCP infections

PCPJack : Un nouveau ver ciblant les infrastructures Cloud

Partager sur

Vous pourriez aimer

Webinar: Why modern attacks require both security and recovery

Vers une cyber-résilience intégrée pour les MSP

vm2 Node.js Library Vulnerabilities Enable Sandbox Escape and Arbitrary Code Execution

Vulnérabilités critiques de la bibliothèque Node.js vm2 : Évasions de bac à sable

Tp-Link Archer AX53 v1.0 Openvpn configuration restore script_security OS command injection vulnerability

Vulnérabilité d’injection de commandes sur les routeurs TP-Link Archer AX53

Tp-Link Archer AX53 v1.0 Openvpn configuration restore client_connect OS command injection vulnerability

Vulnérabilité d’injection de commandes dans le routeur TP-Link Archer AX53